Every year, collectors and enthusiasts wonder what Products Rolex will launch, and the extra months of speculation have only magnified the process this year. New are always exciting, but it seems to be forgotten that the brand also discontinues a few models each year - and the most important tend to be those that are removed from the catalogue.

Dziurawe przeglądarki i zdradziecki pop-up

Firma Secunia, znana z wykrywania 'dziur' w oprogramowaniu, informuje o nowym błędzie, występującym w zabezpieczeniach wszystkich popularnych przeglądarek internetowych - m.in. Internet Explorerze, Mozilli, Firefoksie, Operze, Safari oraz Konquerorze. Umożliwia on dowolnej stronie WWW na zmodyfikowanie zawartości okienka pop-up, otwieranego na innej stronie. Zdaniem przedstawicieli Secunia, mechanizm ten może posłużyć np. do okradania klientów e-banków. Microsoft tłumaczy, ze nie można tu mówić o błędzie, lecz o standardowej funkcji przeglądarki. "Nie widzę sensownego powodu, dla którego strona ma możliwość zmiany zawartości okna, którego sama nie otworzyła" - oponuje Przemysław Jaroszewski z CERT Polska.

Dziurawe przeglądarki i zdradziecki pop-up
Problem polega na tym, że żadna z wymienionych wyżej przeglądarek standardowo nie sprawdza, czy jakaś strona WWW może modyfikować zawartość okienka pop-up, otwartego z innej strony. Oznacza to, że jeśli użytkownik ma otwartą jednocześnie np. stronę e-banku oraz stronę stworzoną w celu wykorzystania opisywanego błędu, to ta druga strona może wymusić zmianę treści okna pop-up, otwartego np. poprzez kliknięcie łącza na stronie e-banku.

Secunia przygotowała nawet specjalną stronę WWW, ilustrującą działanie błędu - można ją znaleźć tutaj. By sprawdzić, jak działa błąd, należy otworzyć powyższą stronę w jednej ze wspomnianych przeglądarek, zaś później postępować zgodnie z instrukcją - tzn. kliknąć na łącze do strony Citibank (dostępne są dwa odnośniki - dla użytkowników korzystających z oprogramowania do blokowania okienek pop-up oraz pozostałych), a następnie - nie zamykając strony Secunia, kliknąć na otwierające okienko pop-up łącze na stronie banku (łączem jest widoczna obok grafika).

Dziurawe przeglądarki i zdradziecki pop-up

Łącze na stronie Citibank

Jeśli przeglądarka będzie podatna na wykorzystanie błędu, to otwarty ze strony Citibanku pop-up zawierał będzie ostrzeżenie przygotowane przez Secunia.

Zdaniem przedstawicieli Secunia, błąd może zostać wykorzystany np. do okradania klientów e-banków, którzy mogą dzięki niemu zostać przekierowani na stronę podszywającą się pod serwis bankowy - "Użytkownik raczej nie będzie kwestionował poleceń zawartych w pop-upie wyświetlonym przez znaną mu stronę" - tłumaczą przedstawiciele firmy.

Microsoft wydał już oświadczenie w tej sprawie, z którego wynika, że opisywany powyżej problem to nie błąd, lecz zwykła funkcja przeglądarki - umożliwia ona stronie WWW wykorzystanie do wyświetlenia własnych treści okna pop-up otwartego przez inna przeglądarkę. Secunia zwraca jednak uwagę na fakt, iż nawet jeśli jest to standardowa funkcja programu, to może stwarzać istotne zagrożenie dla użytkownika.

Komentuje Przemysław Jaroszewski z CERT Polska:

Podchodząc do sprawy zdroworozsądkowo, nie widzę sensownego powodu, dla którego strona ma możliwość zmiany zawartości okna, którego sama nie otworzyła. Dlatego skłaniam się ku uznaniu tego za błąd, a nie za pożądaną funkcję przeglądarki. Wykorzystanie tego błędu, np. do phishingu nie wymaga wiele dodatkowego zachodu od atakującego, a pozwala na znacznie lepsze zamaskowanie oszustwa. Jedynym pewnym zabezpieczeniem jest stosowanie ograniczonego zaufania do treści, które otrzymujemy drogą elektroniczną i weryfikowanie ich bardziej godnymi zaufania sposobami (np. dzwoniąc pod znany nam numer banku). W tym przypadku należy także wystrzegać się odwiedzania nieznanych stron WWW podczas korzystania z serwisów, w których posługujemy się danymi, które chcielibyśmy chronić.

Poniżej prezentujemy przygotowaną przez Secunia infografikę, przedstawiającą potencjalny mechanizm wykorzystania błędu do oszukania użytkownika:

Dziurawe przeglądarki i zdradziecki pop-up

Infografika, ilustrująca mechanizm działania błędu

Więcej informacji:

http://www.secunia.com

Aktualizacja: 10 grudnia 2004 08:33

O opinię na temat błędu w zabezpieczeniach popularnych przeglądarek poprosiliśmy również Adama Kwaśniewskiego, dyrektora handlowego firmy AdNet:

Czy doniesienia o takim błędzie mogą przyczynić się do wzrostu popularności oprogramowania blokującego okienka pop-up?

Każda akcja wywołuje reakcję... Jeśli 'pop-up killery' będą promowane jako jedna z metod obrony przed phisingiem - niewątpliwie będzie pewna ilość osób, która z nich skorzysta z tego powodu. Ale bedzię to zapewne tylko jedna z kilku (wcale nie najważniejsza) przyczyna instalowania sobie tego typu aplikacji.

Jaki odsetek reklam wyświetlanych na polskich stronach stanowią właśnie okienka pop-up?

Odsetek pop-upow szacowałbym na około 6%. Należy do tego doliczyć inne formy reklamowe typu pop - pop-under (osobne okno pod aktywnym oknem przeglądarki) oraz tzw. interstitiale - pełnoekranowe komunikaty, otwierane jako osobne okno. Razem te formy mają ok. 20% udziału w ogóle form reklamowych w polskim Internecie. Natomiast warto podkreślić, ze te formy nie znikną wraz ze wzrostem popularności 'pop-up killerów' - zmieni się tylko sposób ich wywoływania (np. emisja na warstwie).